인프런 커뮤니티 질문&답변

안녕하세요 KMS님!

순서대로 답변 드릴게요~

1. 24회 시험에서 이미지 생성에 사용된 AI 프로그램 확인
- 리뷰영상에서 말씀드렸듯이 확인된 내용은 Chatgpt와 Perplexity의 흔적입니다.
그외에 생성된 이미지에 대한 정확한 정보나, 기타 설치됐던 ai생성 서비스의 정보가 확인이 안된상태이다보니
어디까지나 추정을 통해서 Chatgpt라고 가정을 한 경우라고 생각해주세요.
그렇게 추정한 이유는 아무래도 퍼플렉시티보다는 chatgpt의 흔적이 조금 더 남아있는 것으로 보여지고, 시험이라는 특성상 수험자에게 조금이라도 힌트를 주려는 의도도 있지 않을까 하는 생각에 퍼플렉시티보다는 상대적으로 더 알려져있는 Chatgpt일 가능성을 높게 보고 가정한 경우입니다!

-참고로 생성된 이미지 파일을 hxd로 열어봤을때 문자열에 흔적이 남아있을 가능성도 있습니다.
24회시험에서는 생성된 이미지 파일에 대한 정보가 전무하여 제가 확인을 할수는 없었으나,
다만 제가 가능성이라고 말씀을 드리는이유는, 어떤 경우에 어떤 흔적이 남는지 아직 확실히 정리되지 않아서 어디까지나 참고수준으로만 보시는것을 권해드리는데, 예를 들면 아래와 같습니다.

1) ChatGPT로 생성한 이미지 파일

2) google nano banana로 생성한 이미지 파일

위의 스샷에서 보시는것처럼, 생성툴에 대한 정보를 확인할 수 있는 경우가 있으니 참고만해주세요.

2. 프로그램의 설치시간 등의 정보 확인시 우선순위
- 이부분은 여러 변수가 많아서 단정적으로 말씀드리기는 어렵습니다만
정말 시간이 부족한 경우에는 이벤트 로그나 NTFS LOG를 추출해서 의심이 가는 키워드로(예:chatgpt) 검색해서 확인하시고 그 내용만이라도 써주세요.
레지스트리는 하나하나 찾아가는것도 쉽지 않고, 무엇보다 프로그램에 따라서, 삭제전후상황에 따라서 레지스트리 기록 위치와, 기록이 남아있는지 등이 달라지기때문에 하나만 봐야한다면 레지스트리 보다는 이벤트 로그나 NTFS 로그를 검색해서 보시는것을 추천드립니다.

3. 말씀하신 상황별 시간 확인 방법은 대체적으로 맞습니다.
다만 위 2. 질문 해주신것처럼 교차검증을 하기에는 시간이 부족하다고 생각되시는 경우에는
설치/삭제 - 이벤트 로그 하나만 키워드로 검색해서 확인
마지막 실행시간 - 프리패치
정도로 하나만 확인하시는게 좋을것 같아요.

4. 레지스트리, 이벤트 로그 확인 방법
- 현실적으로... 이부분은 자꾸 해보시는방법밖에 없을것 같아요.
레지스트리의 경우 해당 키의 위치를 결국에는 외우는 수밖에 없는데 이렇게 하기가 너무 어려운경우
이벤트 로그나 ntfs log 에서도 확인이 되는경우라면 그 방법으로라도 확인을 해주세요.
특히 이벤트 로그는 주요 이벤트 ID의 의미를 알고 계시다면 찾는게 훨씬 쉬워집니다.
다만 그렇게 하지 못하는 경우라도 해당 프로그램의 정보(예:실행파일명 등)를 바탕을 검색을 해보시면
그렇게 어렵지 않게 확인이 되시지 않을까 싶습니다.

5. FAT#1 복구 관련 문제가 나오지 않는 이유
- 이부분은 결국에는 출제자의 의도와 관련된 부분이다보니 제가 말씀드리기가 어렵습니다.
다만 2급 시험이라는 점을 생각해봤을때, VBR복구가 FAT#1복구보다는 더 기본이기때문에
그런게 아닐까 하는 추측만 할뿐이며, 시험이 회차를 거듭할수록 조금씩 깊게 들어간다는 점을
생각해봤을때 언젠가는 그런 문제가 출제될 가능성도 완전히 배제하지는 못할것 같습니다.

6. 판례 강의관련
- 제가 올려드리는 판례 관련 영상은, 말씀해주신 학회에서 발간한 실기 교재에 나온 판례와 디지털 포렌식 중요판례 등을 다룬 다른 서적 등을 전반적으로 고려해서 케이스별로, 중요도별로 제 나름의 우선순위를 정해서 올려드리고 있습니다.

자꾸 질문을 추가하게 되네요.

FAT32 파일시스템을 다시 공부하다 보니 FAT파일시스템의 BR을 복구하는 게 아니라 FAT#1을 훼손시키고 FAT#2를 찾아서 복구하는 문제는 나오지 않는 이유가 궁금해서 여쭤봅니다.

추가 질문 있습니다. 최근 판례 강의를 보면서 공부하다 보니, 디지털 포렌식 전문가 2급 공식 실기 문제집에 나온 판례들이 최근 시험에 출제가 되고 있더군요. 강사님도 그 교재를 참고해서 강의를 찍고 계시는 건지 궁금합니다.

안녕하세요, 인프런 AI 인턴입니다. KMS 님의 질문에 대해 유사한 내용을 다룬 기존 답변을 찾았습니다. 디지털 포렌식에서의 분석 절차와 프로그램 설치/삭제 시간에 대한 판단 방법에 대해 알아보겠습니다.

1. 프로그램 사용 여부 확인:
   시나리오에서 AI 이미지 제작자가 사용한 프로그램을 확인하기 위해서는, 프로그램의 실행 흔적을 검토해야 합니다. 레지스트리 키 확인, 프로그램 파일의 접근 시간 및 설치/실행 로그 등을 점검하는 것이 필요합니다. 유사한 사례에서 디지털포렌식에서 로그 분석의 중요성 게시물에서는 프로그램 사용 흔적을 추적하는 방법에 대해 다룹니다.

2. 설치, 실행, 삭제 시간 우선순위:
   시간이 부족하다면 우선 NTFS 로그와 프리패치 데이터를 활용한 크로스체크를 권장합니다. NTFS 로그는 파일 생성 및 삭제에 관한 정보를, 프리패치는 프로그램의 실행 정보를 제공합니다. 윈도우즈 이벤트 분석 등을 통해 이러한 정보를 빠르게 캐치하는 방법에 대한 조언을 받을 수 있습니다.

3. 시간 추정 방법 평가:

   • 프로그램 설치시간: NTFS 로그에서 .exe 파일 생성 시간 확인은 맞습니다. 다만, 설치 중단 후 재시작한 경우 NTFS 로그 외에도 설치 전후의 다양한 로그를 참조해야 오차가 줄어듭니다.
     
   • 마지막 실행시간: 프리패치에서의 last run time 근거는 타당합니다. 이는 프로그램 실행 시점을 확실하게 포착할 수 있습니다.
     
   • 프로그램 삭제시간: Uninstaller의 실행 로그는 삭제 시간 추적으로 적합합니다. 실제 삭제 로그들을 교차 검증하면 좋습니다.
     

4. 레지스트리 및 이벤트 로그:
   경로를 모두 암기하기보다는 자주 사용하는 키와 이벤트 ID를 리스트화하여 참조하는 것을 추천합니다. 레지스트리 활용의 기본 원리에 대해 다루는 게시물들이 있습니다. 각 방법론의 원리를 이해하면 암기보다는 흐름에 익숙해질 수 있습니다.

디지털 포렌식에서의 분석은 많은 정보와의 싸움입니다. 위의 정보를 토대로 각 방법의 순서를 정리하고 중요한 점들에 익숙해지시면 좋겠습니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.